Kezdőoldal » Számítástechnika » Biztonság » Elkaptam egy ransom. Spora...

Elkaptam egy ransom. Spora nevezetű vírust, cryptelte az összes fájlom, tudok mit csinálni ellene?

Figyelt kérdés
Gyakorlatilag semmit se tudok megnyitni a png fájlokon kívül. Nagyon elegem van, az összes emlékem oda. Újra akarom rakni a gépet, mert a vírust semmi se takarítja ki. Ha becsomagolom a kriptelt képeket, videókat, akkor az később decryptelhető valahogy? Vagy most? Vagy bárhogy? Továbbviszi a vírust?

2017. febr. 12. 13:27
 1/8 anonim ***** válasza:
Ha volt backupod (es okos embereknek van, szoval biztos nem voltal idiota), akkor win reinstall es backupbol visszahuzod
2017. febr. 12. 13:38
Hasznos számodra ez a válasz?
 2/8 A kérdező kommentje:
Idióta voltam seems like, mert nincs bekapcsolva biztonsági mentés opció. Soha nem is gondoltam rá, hogy kellhet, ilyen piszok undorító vírusról még nem is hallottam...
2017. febr. 12. 13:48
 3/8 anonim ***** válasza:

A titkosítóvírusok legnagyobb problémája hogy olyan eljárással dolgoznak amit nem tudsz megkerülni és feltörni sem. Jobb esetben kapsz egy elérhetőséget ami által fizethetsz és megkapod a feloldókulcsot és visszakaphatod az elveszett dolgaid 100%-át. Csak a zsarolásnak engedni azt a folyamatot gerjeszti hogy még több ilyen vírus legyen, mert ha hajlandóak fizetni akkor megéri csinálni.

És persze nem is kevés pénzről van szó, 1 bitcoin valami 200 ezer forint felett van most.


Esetleg annak még utána tudsz nézni a neten hogy konkrétan ez a vírus mit csinál és hogyan oldható meg a probléma, mert régen ezek helyileg tárolták a feloldókulcsot és pár esetben vissza lehetett fejteni a generált kódot. Ma már az jellemző hogy a kulcsot kiküldi a netre a vírus, és a hozzáféréshez kell fizetni. Akkor pedig veszett a dolog, hacsak nem fizetsz.


Tanulságként engem még az érdekelne, hogy hogy lehet ilyet összeszedni? E-mail csatolmány, oldal-átirányítás, kamu web-összetevő frissítési felkérés, vagy nem is tudom...

2017. febr. 12. 15:42
Hasznos számodra ez a válasz?
 4/8 A kérdező kommentje:

Én pl a Semmelweis egyetem oldaláról kaptam el, ahol közölte velem, hogy az oldal font-ját nem ismeri a chrome, töltsem le, telepítsem. Én pedig nagy hülyén kibontottam. A vicc, hogy az oldal ezután működött is, szóval úgy gondoltam, ez csak ennyi volt. Persze, következő újraindításnál fogadott a "your files are crypted" oldal, mondván, hogy bizony jó sok pénzért visszavásárolhatom az adataim.

Most az egyetlen reményem, hogy a képeim fele kb facebook messengeren még megtalálható. A régiekről meg lemondhatok...

2017. febr. 12. 19:05
 5/8 anonim ***** válasza:
Nem tunt fel h nincs exe kiterjesztesu font?
2017. febr. 12. 19:43
Hasznos számodra ez a válasz?
 6/8 A kérdező kommentje:
Őszintén, nem figyeltem, mit bont ki. A tudatlanok nyugalmával hagytam neki.
2017. febr. 12. 20:01
 7/8 anonim válasza:

Sajnos ismerős... Kedvesem futott bele ebbe a gusztustalan ransome vírusba. Egy közismert magyar pizzéria oldaláról kapta el. Az eredeti, és előtte többször használt rendelő oldal helyett egy szétesett CSS szerű oldalt hozott be. Semmi "más linkre irányítás" nem történt, a szerver hordozója lehet a vírusnak. Felhívtam őket hogy tudjanak a problémáról, nehogy más is így járjon. Ami érdekesség, hogy az oldal pár percel később hibátlanúl tette a dolgát, más gépről is rendesen működött (a vállalati gépem nagyon magas szinten védet és backupolt, bátorkodtam menézni vele).


A következmények: írás védetté tette mindkét meghajtót és minden azon létező adatát (családi fotók, videók, dokumentumok, tananyagok, szakdolgozat, minden de minden...)

Deep-web kutakodás után maga a vírus eltávolítása nem okozott különösebb problémát, de az enkriptált adatok visszafejtése kvázi lehetetlen. Rendszerprogramozóként azt mondom, ez az 1024 bites AES RSA titkosítás amit a kód használ az enkriptáláshoz, belátható időn belül nem visszafejthető. A public key megtalálható a gépen percek alatt de önmagában semmit nem ér.

Külön érdekesség hogy nincs szüksége internet kapcsolatra ahhoz hogy tegye a dolgát miután bekaptad. Az oldal ahol a váltságdíjat fizethetjük be, különösen kifinomúlt, ha lehet ilyet mondani esetünkben, profi munka. Online chat-elhetsz a támadókkal, és különféle csomagokat ajánlanak különféle árakon az áldozatoknak. 70.000 Ft-ért oldják fel, ezt 7 naponta 30.000 Ft-al emelik. Őrület!


Magyar cikk:

[link]


A vírust itt kivesézték szakemberek működés szempontjából:

[link]


Ha belefutottál akkor itt vannak a teendők, de ezek csak akkor érvényesek ha van backup és visszaállítási pont beállítva a windows-ban:

[link]


[link]


[link]


Ha nincs backup, jelen esetben 3 lehetőség van:

- Hibáztak a kóddal valahol az alkotók, és ez alapján egy nagy vállalat (Kaspersky többek között példáúl sokat foglalkozik ilyennel) visszafejti majd közzéteszi a megoldást

- Megkönyörülnek a támadók és közzéteszik maguktól a kódot (volt már rá példa, de sokkal inkább soha nem törtéink meg)

- Lecsapnak rájuk és a lefoglalt/feltört gépek alapján teszik közre a kódokat


Mind három lehetőséghez idő kell, és kicsi az esély. Nagyon sajnálom és együtt érzek veled, nem egyszerű dolog ez. Ha esetleg találok valamit még akkor azt megosztom szívesen.


Végül egy jótanács a többieknek: "Always have backup before you fuckup!" (Mindíg legyen biztonsági másolatod mielőtt rába**ol!)

2017. febr. 13. 14:23
Hasznos számodra ez a válasz?
 8/8 anonim válasza:

#5 válaszoló: HTML kiterjesztésű volt a font, nem exe.


"Google Chrome Font Pack updated" néven jött.


Cikk:

[link]

2017. febr. 13. 14:33
Hasznos számodra ez a válasz?

Kapcsolódó kérdések:




Minden jog fenntartva © 2024, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu

A weboldalon megjelenő anyagok nem minősülnek szerkesztői tartalomnak, előzetes ellenőrzésen nem esnek át, az üzemeltető véleményét nem tükrözik.
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!